…nein, nicht der Angeklagte, sondern die RIAA hat am Wochenende von ihrem Schweigerecht in Form einer leeren Webseite Gebrauch gemacht. Schuld dafür ist eine SQL-Injektions-Lücke, und jemand, der dadurch wohl einige DROP- und/oder UPDATE-Kommandos eingeschleust hat. Mittlerweile ist ein Backup eingespielt, die Inhalte wieder da und die Lücke gefixt – eine XSS-Lücke blieb uns jedoch erhalten, während eine andere im selben Modul gefixt wurde.
Ich frage mich ernsthaft, wie man bei einer so einfach aufgebauten Webseite, bei der ein User nur an 3-4 Stellen überhaupt eigene Daten an den Server schickt, so viel falsch machen kann. Bei der News-Seite könnte man ganz einfach den intval() der Eingabe nehmen, und das Problem wäre gelöst. Jeden String mit mysql_real_escape_string() o.ä. zu behandeln, bevor man ihn in einem Query verwendet, sollte eine Selbstverständlichkeit sein. Ist aber nicht, weder für die RIAA, noch für diverse offizielle Seiten.
Die Löschung der Webseite ist aber nur ansatzweise lustig. Ich hätte aber eher einen subtilen Link auf thepiratebay.org ans Ende jeder Seite gesetzt (oder, auch gut, ein Script, das nach Ablauf einer bestimmten Frist document.location neu setzt und den User so vollautomatisch auf thepiratebay.org weiterleitet), statt die Seite komplett zu löschen…
Update: Wie ich eben festgestellt habe, hat sich die MPAA, das Film-Äquivalent der RIAA, bei der Absicherung ihrer Seiten auch nicht wirklich Mühe gegeben. Wer dieser Seite ein wenig Apostrophen im POST-Feld `rating` zu fressen gibt, sieht, was ich meine. Ich sage sicherheitshalber schon im Voraus `Ich war’s nicht!`…
Januar 24, 2008 um 4:08
Sehr interessanter Beitrag! Immer wieder erschreckend, wie stiefmütterlich Sicherheitstechnik auch heute noch behandelt wird.
Januar 24, 2008 um 4:21
Da hast du allerdings recht. Ich habe sogar schon erlebt, dass meine Mails an den Webmaster eines Online-Shop mit dem Hinweis, dass ihm jeder die Datenbank manipulieren oder auslesen könne, nur mit der Auto-Antwort (`Wir danken ihnen für ihr Feedback… $foo`) quittiert und dann NIE angeschaut wurde. Die Lücke ist übrigens heute immer noch da.